Aralık ayının Salı Yaması Microsoft cephesinde nispeten sessiz geçiyor. Redmond, yalnızca dördü kritik olarak derecelendirilen 34 güvenlik açığını düzeltti. AMD merkezi işlem birimlerinde (CPU’lar) daha önce açıklanan yama yapılmamış bir güvenlik açığı olan bir güvenlik açığı, AMD tarafından yazılım geliştiricilerine kaydırıldı.
AMD’nin güvenlik açığı seksenli yıllardan kalma bir şeye benziyor:
“Bazı AMD işlemcilerdeki sıfıra bölme hatası potansiyel olarak spekülatif veriler döndürebilir ve bu da gizlilik kaybına neden olabilir.”
Ve AMD’nin azaltım tavsiyesi temelde “bu yüzden sıfıra bölmeyin” şeklinde özetlenebilir; birçok programcının size söyleyebileceği gibi, bu göründüğü kadar kolay değildir. AMD, daha sonra ayrıcalık sınırlarını değiştirmeden önce bölme işlemlerinde hiçbir ayrıcalıklı verinin kullanılmadığından emin olun, diye ekliyor, bu da söylendiği kadar zor. Microsoft’un sorunu nasıl çözdüğünden emin değiliz ancak şirket, Windows’un en son sürümlerinin bu güvenlik açığını azaltmaya olanak tanıdığını ve güvenlik açığına karşı koruma sağladığını belirtti.
Vurgulamak istediğimiz diğer güvenlik açığı, CVSS puanı 10 üzerinden 8,1 olan ve önem derecesi “Kritik” olarak listelenen bir Windows MSHTML platformu uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2023-35628 olarak listelenmiştir.
MSHTML, tarayıcı tabanlı içerik oluşturmak için kullanılan Windows’un temel bir bileşenidir. Bu güvenlik açığı e-postalarda kullanılabilir. Saldırgan, Outlook istemcisi tarafından alınıp işlendiğinde otomatik olarak tetiklenen, özel hazırlanmış bir e-posta göndererek bu güvenlik açığından yararlanabilir. Bu, e-posta Önizleme Bölmesinde görüntülenmeden önce bile istismara yol açabilir. Bu, saldırganın kurbanın makinesinde uzaktan kod çalıştırmasıyla sonuçlanabilir. Başka bir deyişle, hedefin makinesine kötü amaçlı yazılım yükleyebilir veya tetikleyebilirler.
Diğer satıcılar
Diğer satıcılar periyodik güncellemelerini Microsoft ile senkronize etmiştir. İşte çevrenizde bulabileceğiniz birkaç önemli şey.
Adobe Adobe yazılımındaki birden fazla güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Android: Google, kritik sıfır gün düzeltmesini içeren Android Aralık 2023 güvenlik güncellemelerini yayınladı.
Apaçi Struts 2’deki bir güvenlik açığını (CVE-2023-50164) gidermek için güvenlik güncellemeleri yayımladı. Uzaktaki bir saldırgan, etkilenen sistemin kontrolünü ele geçirmek için bu güvenlik açığından yararlanabilir.
Elma aktif olarak kullanılan iki sıfır gün güvenlik açığıyla ilgili olarak eski iOS cihazları için yamalar içeren acil durum güncellemeleri yayınladı.
SAP’nin Aralık 2023 Yama Günü güncellemelerini yayınladı.
WordPress Uzaktan kod yürütme (RCE) güvenlik açığını gideren sürüm 6.4.2 yayımlandı.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.